Piratas informáticos están hackeando los servidores de Microsoft Exchange utilizando los exploits ProxyShell y ProxyLogon para distribuir malware y eludir la detección, a través de correos electrónicos internos robados de la cadena de respuesta.
Cuando los actores de amenazas realizan campañas de correo electrónico malicioso, lo más difícil es engañar a los usuarios para que confíen en el remitente lo suficiente como para que abran los archivos adjuntos vinculados o incluidos que distribuyen malware.
Los investigadores de TrendMicro han descubierto una interesante táctica que consiste en distribuir correos electrónicos maliciosos a los usuarios internos de una empresa utilizando los servidores Microsoft Exchange comprometidos, de la víctima.
Se cree que los actores que están detrás de este ataque son “TR”, un conocido actor de amenazas que distribuye correos electrónicos con archivos adjuntos maliciosos que lanzan malware, incluyendo cargas útiles de Qbot, IcedID, Cobalt Strike y SquirrelWaffle.
Para engañar a los objetivos corporativos para que abran los archivos adjuntos maliciosos, el actor de la amenaza explota los servidores de Microsoft Exchange utilizando las vulnerabilidades ProxyShell y ProxyLogon.
A continuación, los actores de la amenaza utilizan estos servidores Exchange comprometidos para responder a los correos electrónicos internos de la empresa en ataques de cadena de respuesta que contienen enlaces a documentos maliciosos que instalan diversos programas maliciosos.
Como estos correos electrónicos se originan en la misma red interna y parecen ser la continuación de una discusión anterior entre dos empleados, se genera un mayor grado de confianza en que el correo electrónico es legítimo y seguro.
Esto no sólo es eficaz contra los destinatarios humanos, sino que también es excelente para no hacer saltar ninguna alarma en los sistemas de protección del correo electrónico utilizados en la empresa objetivo.
Con información de Bleeping Computer.